12/08/2018, 10:16

Create and manage object and policy in domain with Samba4

Ở phần trước, chúng ta đã tìm hiểu về việc tạo domain bằng samba 4 và join domain trên những hệ điều hành khác nhau. Ở phần này, chúng ta sẽ tiếp tục tìm hiểu về domain trên samba4 với việc quản lý user, group và policy. Trên samba, tất cả việc quản lý đều được sử dụng dễ dàng với câu lệnh ...

Ở phần trước, chúng ta đã tìm hiểu về việc tạo domain bằng samba 4 và join domain trên những hệ điều hành khác nhau. Ở phần này, chúng ta sẽ tiếp tục tìm hiểu về domain trên samba4 với việc quản lý user, group và policy.
Trên samba, tất cả việc quản lý đều được sử dụng dễ dàng với câu lệnh "samba-tool". samba-tool là công cụ quản lý chính trên samba. Ở đây mình sẽ giới thiệu về một vài chức năng quản lý như user, group user, policy ... với samba-tool.

1. Quản lý user

Để tạo mới 1 user trên domain:
samba-tool user add <username> [password]
Ví dụ:

#samba-tool user add demo Aa@123456 --uid=123 --mail-address=demo@demo.com --company="demo" --must-change-at-next-login
User 'demo' created successfully

ở đây, ta đã tạo thành công user "demo" với các thông tin mật khẩu:"Aa@123456", uid:"123", mail:demo@demo.com", tên công ty:"demo", và buộc user phải thay đổi mật khẩu trong lần đăng nhập tiếp theo. Sau đây là những tham số thường đi kèm với "user add" --must-change-at-next-login: buộc thay đổi mật khẩu trong lần đăng nhập kế tiếp
--random-password: sinh ra password ngẫu nhiên cho user
--home-directory=HOME_DIRECTORY: thư mục gốc của user
--company=COMPANY: tên công ty
--mail-address=MAIL_ADDRESS: địa chỉ email
--uid=UID: UID của user
--login-shell=LOGIN_SHELL: shell khi user login (có thể là /bin/bash, /bin/sh ...)

Nếu add nhầm thông tin của user, ta có thể xóa user với câu lệnh:
samba-tool user delete <username>
VD:

#samba-tool user delete demo
Deleted user demo

Với user, ta còn có thể disable tạm thời: samba-tool user disable <username>
enable user: samba-tool user enable <username>
và kiểm tra user đang có trong domain với câu lệnh: samba-tool user list

2. Quản lý group

Với group thì tương tự như với user, ta cũng có thể tạo thêm group: samba-tool group add <groupname>
VD:

#samba-tool group add gdemo
Added group gdemo

Để add thêm user vào group, ta sử dụng câu lệnh: samba-tool group addmembers <groupname> <username>
VD:

#samba-tool group addmembers gdemo demo
Added members to group gdemo

OK, vậy là user "demo" đã được add vào group "gdemo"
Ta có thể kiểm tra user trong từng group với: samba-tool group listmembers <groupname>

# samba-tool group listmembers gdemo
demo

Để list các group trong domain, ta sử dụng: samba-tool group list

3. Quản lý policy

Trước hết, điều ta quan tâm đầu tiên là mật khẩu của account trong domain. Phải có policy buộc người sử dụng đặt mật khẩu mạnh để tránh dễ dàng bị tấn công.
Để check policy nào đang được áp dụng: samba-tool domain passwordsettings show Vd:

#samba-tool domain passwordsettings show
Password informations for domain 'DC=demo,DC=com'

Password complexity: on
Store plaintext passwords: off
Password history length: 5
Minimum password length: 8
Minimum password age (days): 0
Maximum password age (days): 180

để set policy cho mật khẩu: samba-tool domain passwordsettings set <option>
--complexity=COMPLEXITY: mật khẩu mạnh:on, off, default (mặc định là on)
--history-length=HISTORY_LENGTH: độ dài history (mặc định là 24)
--min-pwd-length=MIN_PWD_LENGTH: số lượng ký tự tối thiểu trong mật khẩu (mặc định là 7)
--min-pwd-age=MIN_PWD_AGE: thời gian tối thiểu được đổi password (mặc định là 1: sau 1 ngày kể từ lần cuối cùng thay đổi mật khẩu mới có thể tiếp tục đổi)
--max-pwd-age=MAX_PWD_AGE: thời gian tối đa bắt buộc phải đổi mật khẩu (mặc định là sau 43 ngày)

VD:

samba-tool domain passwordsettings set --history-length=5 --min-pwd-length=8 --min-pwd-age=0 --max-pwd-age=180

Để config policy trên samba, để dễ dàng chúng ta sẽ cấu hình trên windows, thông qua RSAT (remote server administration tools)
Với windows 7, ta cần phải download package http://www.microsoft.com/en-us/download/details.aspx?id=7887
Với windows 8, ta chỉ cần enable feature RSAT trong windows feature là có thể sử dụng. 1.JPG

Ví dụ: để tạo lời chào mỗi khi login bằng group policy, ta có thể thực hiện theo các bước sau:

  • tạo file demo.vbs để viết script: 1.JPG

  • Vào Administrator tool -> Group policy Management. Tạo GPO tên welcome 2.JPG

  • Edit policy "welcome" -> tìm theo đường dẫn User configuration -> Windows settings -> Scripts (logon/logoff) -> Add file script vừa tạo -> OK 3.JPG

  • Sau khi xong, thực hiện câu lệnh gpupdate /force để update policy cho các client trên domain. Sau đó login sang client để kiểm tra kết quả
    4.JPGwelcome.jpg

0